Kevin D. Mitnick

Nykyään Kevin David Mitnick pyörittää maineikasta tietoturvayritystä (Kevin Mitnick and The Global Ghost Team) mutta matka on ollut pitkä ja vaiheikas. Suojautuakseen rikollisilta tulee tietää miten rikolliset ajattelevat, ja siinä ollaan Mitnickin osaamisalueen ytimessä.

Jo kaksitoistavuotiaana Kalifornialainen Mitnick kiersi lakia huijaamalla bussikuskia kertomaan paikallisen bussijärjestelmän toiminnasta tarpeeksi että pystyi itse tekemään omat bussilippunsa ja täten matkusti ilmaiseksi alueella mihin vain, milloin vain. Myöhemmin tästä niin kutsutusta sosiaalisesta peukaloinnista (kts. Social Engineering) tuli Mitnickin suosikkityökalu tietojen hankintaan.

Myöhemmin Mitnick teki paljon muutakin, puhelinlinjojen salakuuntelusta sähköposteihin murtautumiseen, mutta viimein päätyi vankilaan vasta isommista yritysmurroista useamman vuoden pakoilun jälkeen ja vietti viitisen vuotta telkien takana. Huhu kertoo että kahdeksan kuukautta siitä eristyssellissä koska lainvalvojat saivat uskoteltua tuomarille että Mitnick voi laukaista ydinkärkiä puhaltamalla puhelimeen.

Mitnickiä ei motivoinut raha, ei poliittinen agenda, eikä vieraan vallan päämäärien edistäminen. Mitnick oli älyllisesti utelias, ja nuorena keppostelija. Jokainen järjestelmä oli haaste, tekniset laitteet kiehtovia. Vaikka melkein kaikkea mitä Mitnick teki olisi voinut käyttää valtavaan tuhoon, ryöstöihin, kiristyksiin, se mitä todella tapahtui oli ilmaisia bussilippuja nuorelle Kevinille, ja hämmennystä McDonaldsin autokaistalla jonka tilauksia vastaanottavan radion kuusitoistavuotias poika oli hakkeroinut omaan käyttöönsä.

Petoksen taito - The Art of Deception

Nykyään Mitnick ei ole enää nuori poika, eikä myöskään rikollinen. Hänet tunnetaan "hattua vaihtaneena hakkerina" eli cowboytermein mustasta pahiksen lakista valkoiseen hyviksen lakkiin vaihtaneena hyviksenä jolla on värikäs historia. Nyt Mitnick suurella innolla ja ylpeydellä opastaa meitä maallikoita suojautumaan pahantahtoisilta urkkijoilta sekä hassuttelevilta keppostelijoilta. Mitnickin yritys keskittyy niin kutsuttuun penetration testingiin, eli käytännössä tekee hyökkäyksiä asiakasyritykseen testatakseen sen tietoturvaa. Toiminta sisältää laajan kirjon erilaisia taktiikoita ja mekanismeja joiden avulla yritykseltä pyritään saamaan salassapidettävää tietoa, tai pääsy alueille joiden kuuluisi olla turvattuna, tai mitä vaan. Jos asiakkaana on vaikka suurempi pankki, saattaa asiakas haluta yksinkertaisesti testata kuinka murtovarma heidän turvajärjestelmänsä on.

Meille maallikoille, joilla ei ole varaa palkata maailman parasta hakkeritiimiä opastamaan tietoturvan kanssa, on onneksi myös jotain. Mitnick on kirjoittanut lukuisia kirjoja tietoturvaan liittyen.

Tämä kirjoitus keskittyy lähinnä yrityksen tietoturvaan ja kirjaan The Art of Deception. Kirjassa Mitnick kertoo omien kokemuksien ja tarinoiden kautta tapauskohtaisesti esimerkkejä oikeasta elämästä, kuinka isoihin yrityksiin on murtauduttu, minkälaisia huijareita on ollut liikkeellä. Kaikissa kirjan esimerkeissä keskeistä on että hyödynnetty heikko lenkki, aukko tietoturvassa, on aina ihminen. Minä, sinä, pomo, alainen, tai vaikka yhteistyökumppani.

Me olemme ihmisiä. Ihminen on ailahteleva, tekosyitä keksivä, hajamielinen, tunteikas. Suurin "syntimme" kuitenkin usein on avuliaisuus ja hyväntahtoisuus. Vastaamme puheluun - soittaja esittäytyy kollegana joka on jäänyt oven taakse jumiin ja kokous alkaa pian. Hänellä ei ole kulkukorttia, koska unohti sen autoon ja aviomies joka toi töihin on jo ehtinyt jatkaa matkaansa. Tottakai avaamme hänelle oven. Hän halaa ja kiittelee ja pahoittelee ettei ehdi tarjoamaan kahvia, kun joutuu juoksemaan kokoukseen. Meille jää hyvä mieli, olemme tehneet hyvän teon. Todellisuudessa kuitenkin soittaja saattoi olla yritysvakooja, ryöstäjä, toimittaja, tai jotain muuta. Numero johon hän soitti löytyi firman nettisivuilta ja muita mahdollisia käytäntöjä ja firman sisäistä slangia hän oli oppinut juopuneelta kollegalta baarissa viikkoa aiemmin. Nyt tämä avuntarvitsija kerää talteen puolityhjän toimiston asiakastiedot, näkyvillä olevat salasanat ja käyttäjätunnukset, talousluvut, jopa pankkitunnukset ja kortit jos niitä säilytetään näkyvillä tai vetolaatikossa, samalla kun muut työntekijät olettavat hänen olevan oven avaajan tuttu, sillä eihän kukaan nyt tuntemattomille availisi lukittua ovea.

Keinot ovat monet. Vaikka yrityksessä olisi sovittu ja pidettäisiin kiinni ettei ulkopuolisia päästetä valvomatta toimistoon, aukkoja löytyy silti. Onko kaikki kartalla mitä tietoja saa ja mitä ei saa luvouttaa ulkopuolisille puhelimitse? Millä tavalla soittajan henkilöllisyys varmennetaan? Jos tavoitellun yhteistyökumppanin edustaja soittaa ja ehdottaa vuosisadan diiliä, muistetaanko varmistaa soittajan henkilöllisyys, vai puhutaanko innolla ja kiireessä liikaa? Tiedustelijoiden lisäksi haavoittuvuuksia on monia. Niinkin yksinkertainen asia, kuin salassapidettävien dokumenttien säilytys ja hävitys on uskomattoman vaikeaa saada oikeasti toteutumaan suunnitellusti. Paperit unohtuvat työpöydille, tai tavallisiin roskiksiin. Kun roskapussit viedään ulos, kuvitellaan että pusseihin kätketyt jätteet katoavat, mutta todellisuudessa roskissukeltaminen on jotain mitä jopa tiedustelupalvelut tekevät edelleen. Sen takia on äärimmäisen tärkeää että salassapidettävät dokumentit jotka hävitetään hävitetään kunnolla - silppurilla joka leikkaa vähintään kahdesta suunnasta, tai vaikka polttamalla, mutta vielä sitäkin tärkeämpää on että työntekijät kaikilla portailla ovat sitoutuneet suunnitelmaan ja noudattavat sitä tarkasti.

Meistä ihmisistä pahimpia tietoturva-aukkoja on sitoutumattomat työntekijät. Henkilöt jotka "tekee vaan työtään" menemällä sieltä missä aita on matalin, välittämättä seurauksista. Luottaen siihen että kaikki minkä voi kuitata inhimilliseksi virheeksi tai peitellä tekosyyllä on okei jättää huomiotta, tekemättä, tarkistamatta. Sitoutumattomuus kuitenkin on enemmän hallinnollinen ongelma kuin yksilön valuvika, ainakin useimmissa tapauksissa. Jos palkka on poljettu laillisuuden rajamaille, työilmapiiri tulehtunut ja pomot autoritäärisiä kusipäitä, niin ei siinä ketään kiinnosta tehdä yhtään seurausten uhalla vaaditun minimin yli.

Miten sitten pitää huolta tietoturvasta, kun se kuulostaa niin hankalalta? Yrityksen tulee luoda selkeät tietoturvakäytännöt joita on ensisijaisesti helppo noudattaa. Liian vaikeat, liian monimutkaiset menee aina yli ymmärryksen tai vähintään unohtuu seuraavaan kahvitaukoon mennessä. Muutama yksinkertainen nyrkkisääntö ikäänkuin huoneentauluksi seinälle. Säännöt tulee suunnitella aina yrityskohtaisesti, mutta ne voivat olla esimerkiksi tietojen selkeä luokittelu niihin joita voidaan jakaa ulos ja niihin joita ei missään nimessä jaeta ulos. Luottamuksellisten dokumenttien säilöminen yhdessä paikassa lukkojen takana on myös hyvä idea, samoin niiden hävittäminen pelkästään tietyn luotettavan silppurin kautta. Kun tietokoneet on suojattu, ja luottamukselliset asiakirjat poissa näkyviltä, ei tarvitse kantaa niin suurta huolta päätyykö toimistoon pyörimään ulkopuolisia vai ei. Kaikista tärkeintä on kuitenkin pitää huolta työntekijöiden tyytyväisyydestä ja sitoutuneisuudesta. Tyytyväinen firman tulevaisuudesta kiinnostunut työntekijä on aina valmis korjaamaan löytämänsä tietoturva-aukot, tarkistamaan tuntemattoman toimistovierailijan henkilöllisyyden, ja kaikin puolin näkemään aina hieman vaadittua enemmän vaivaa yhteisen hyvän eteen.

Tehokkuus vai tietoturva?

Tietoturvasuunnitelmaa tehdessä ei kannata kuitenkaan lähteä väkisin tukkimaan kaikkia aukkoja tehokkuuden kustannuksella. Jossain vaiheessa mennään sen rajan yli, että moninkertaiset tarkistukset joka kahvitauon jälkeen eivät enää merkittävästi lisää tietoturvaa, mutta alentavat tehokkuutta ja sen myötä ylipäätään heikentävät sitä alunperäistä syytä miksi tietoturvaa yrityksessä tarvitaan - liiketoimintaa. Kenties vaikein tehtävä on löytää se sopiva tasapaino tietoturvan ja tehokkuuden välillä, mutta se on myös ehdottoman tärkeää.

Lähteet

Kevin D. Mitnick
https://en.wikipedia.org/wiki/Kevin_Mitnick
https://mitnicksecurity.com/
https://www.rt.com/shows/sophieco/238269-hacker-cyber-adventurer-fbi/

The Beirut Bank Job / Darkweb Diaries
https://darknetdiaries.com/episode/6/

ArtofDeception.JPG

Art of Deception, Kevin Mitnick & William L Simon

Likinäköinen tiimipelaaja

Olen viimeaikoina miettinyt paljon ryhmässä toimimista, omaa rooliani siinä ja erityisesti kaikkea sitä mitä en näe. Liian lähellä, liian syvällä siinä arjessa ja tapahtumien keskiössä on todella vaikeaa hahmottaa kokonaiskuvaa jonka osana itse on.

selective focus photography of man's reflection on a broken mirror

"You can't see the forest from the trees and you can't smell your own shit on your knees"

Marilyn Manson - Beautiful People

Aihetta jo valmiiksi pohtineena palaset alkoivat vihdoin loksahdella kohdilleen lukiessani Arbinger Instituten kirjaa Leadership and Self-Deception. Kirjoitin tästä jo yhden tekstin, mutta koska aihe on niin moniulotteinen ja laaja, koin että on tärkeää saada ulos vielä tämä pätkä, joka liittyy erityisesti työelämään ja tiimiyrittäjäopintoihini.

Kirjassa kerrotaan itsepetoksen olevan yrityksen menestyksen kannalta vaarallisin virhe mitä voi tehdä. Se toimii kuin herkästi leviävä rutto ja saastuttaa koko organisaation vaikuttaen sen jokaiseen osaan ja työntekijään tehtävästä, tittelistä, palkkaluokasta riippumatta. Epidemia saa alkunsa pienestä ja huomaamattomasta, mutta kasvaa räjähdysmäisesti kunnes jäljellä ei ole mitään tuhottavaa, ja samalla pitää huolen ettei kukaan vahingossakaan korjaa havaitsemiaan vikoja, tai tee yhteisön hyväksi mitään mitä ei erikseen käsketä rangaistuksella uhaten. Kuulostaako tutulta? Oletko ollut itsepetoksen saastuttamassa työpaikassa, yhteisössä?

Kuinka se käytännössä tapahtuu onkin hankalampi selittää, mutta yritetään. Muistele parasta pomoa, opettajaa, vanhempaa serkkua tai vaikka päivähoitajaa, mikä sinulle toi sen hyvän tunteen? Mikä sai sinut haluamaan tehdä yhteistyötä juuri hänen kanssaan, ja ajattelemaan myös hänen parastaan? Mietin tätä todella pitkään, ja tulin siihen tulokseen että se on ihmisen kohtaaminen ihmisenä. Aiemmassa kirjoituksessani kerroin kirjan laatikkoteoriasta, ja siihen tässäkin taas tullaan, mutta pienellä twistillä. Nyt mietitään kuinka se käytännössä vaikuttaa organisaatioissa pienistä suuriin, ja miksi juuri tähän huomion kiinnittämistä pidetään niin merkittävänä asiana että Leadership and Self-Deception kirja on monissa suurissa yrityksissä otettu mukaan jopa rekryprosessiin, ja vielä useammissa esimiestason tai jopa koko henkilöstön koulutuksiin.

Stressaavissa tilanteissa on helppoa hukkua omaan rooliinsa, johtajalle on todella helppoa ottaa niin paljon vastuuta ettei siitä ole edes realistista selvitä yksin, mutta vielä helpompaa on syyttää siitä muita, etenkin jos muut ovat alaisia jotka eivät pysty haastamaan kun ylempää kerrotaan miten asiat on. Se, mitä usein ei ymmärretä, on kuinka tämä vaikuttaa alaisten sitoutuneisuuteen, työmotivaatioon ja yleiseen haluun myötävaikuttaa yrityksen menestykseen. Pahimmassa tapauksessa ajaudutaan tilanteeseen jossa valtaosa talon työntekijöistä aktiivisesti sabotoi yrityksen toimintaa, ja loput teeskentelevät etteivät huomaa, eivätkä puutu mihinkään mikä ei ole suoraan heidän vastuullaan työsopimuksen mukaan. Kun kukaan ei ota vastuuta mistään, eikä ketään kiinnosta yhteinen menestys, vaan kaikki "tekee vain työtään", on turha miettiä miksi homma ei luista eikä tavoitteita saavuteta.

man's reflection on body of water photography

On tuhat tapaa tehdä asiat väärin, ja ne kaikki varmasti kokeillaan jokaisen yksilön ja yrityksen elinkaaren aikana jossain kohtaa, mutta jos jotain voimme oppia muiden kokeiluista ja kolhuista, niin opitaan. Edes simpanssien yhteiskunnat eivät toimi voimakkaimman autoritäärin ehdoilla, vaan niissä arvohierarkian huipulle nousee sellaiset yksilöt jotka ymmärtävät muita yksilöitä ja yksilöllisiä tarpeita, osaavat ottaa toiset huomioon. Tyrannit revitään joukolla alas. Ihmiset eivät lopulta ole tässä asiassa kovin erilaisia, paitsi siinä mielessä että meillä on keinotekoisia valtarakenteita joissa ei noudateta luonnon lakeja. Meillä voidaan huonolla johtamisella edistää huonoa johtamista, palkata päättävään asemaan pätevyydeltään kyseenalaisia yksilöitä milloin sukulaissuhteiden milloin poliittisten puoluekirjojen perusteella. Myös olemassaolevat, aikanaan pätevyytensä perusteella palkatut johtajat saattavat täysin laiminlyödä ammattitaitonsa päivittämisen ja itsekriittisen tarkastelun luottaen liikaa omaan statukseensa ja kiveen hakattuun identiteettiinsä. Voiko tässä pelissä edes voittaa? Voi. Ei helposti, eikä aina, mutta ainakin vahvoja viitteitä oikeasta suunnasta on kokeilemalla löydetty.

shallow photography of monkey sitting on grey stone looking elsewhere

Nöyryys ja vastuullisuus johtamisen työkaluina.

Modernit ongelmat vaativat moderneja ratkaisuja. Kokeilun ja tutkimisen kautta on löydetty ihan hiljattain erittäin vahvoja hyvän johtajan ominaisuuksia ja niitä hyödyntäviä työkaluja, joilla saadaan parhaimmillaan ratkaistua päivässä ongelmia jotka ovat vaivanneet organisaatiota vuosikymmeniä. Näistä tärkeimpiä on vastuunkanto ja nöyryys. Eikä pelkästään neuroottisen reviiritietoinen vastuunkanto henkilökohtaisista teoista ja sanoista, vaan koko tiimin. Me tehdään, me sovitaan, me edustetaan. Vaikka sitä ei sillä hetkellä tiedostaisi, niin sen kyllä tuntee. On aivan eri asia nähdä oma esimies tai neuvottelun toisen osapuolen edustaja ottamassa vastuuta ja pahoittelemassa myöhästymistä, kuin nähdä siitä syytettävän jotakuta alaista joka ei ole paikalla lainkaan. Tiimi jonka johtaja seisoo tiimin rinnalla on tiimi joka tukee johtajaansa. Tiimi jonka johtaja heittää alaisensa bussin alle näyttääkseen itse paremmalta ei ole tiimi lainkaan. Johtajan esimerkillä vastuunkannon kulttuuri leviää koko organisaatioon. Kun ylempänä taho toisensa jälkeen ottaa vastuuta yrityksen menestyksestä, askel kerrallaan aalto liikkuu alaspäin, ja lopulta saavuttaa myös tahon joka on mahdollisesti ollut eniten vastuussa ongelmakohdasta. Tällä kertaa defenssien sijaan sieltä nousee halu kantaa kortensa kekoon, myöntää virheet, ottaa vastuuta ja tähdätä parempaan - yhdessä. Kun aikataulujen kanssa mokaillut alainen näkee esimiehensä pahoittelevan meidän myöhästelyä, hän kokee kiitollisuutta ja tarvetta suoriutua jatkossa paremmin, sen sijaan että bussin alle heitettynä katkeroituisi lyömään päätään seinään. Samalla tavalla tämä vaikuttaa myös vastapuoleen - ei ole olemassa hyvää johtajaa joka arvostaisi alaisiaan uhraavaa vastapuolta yritystapaamisissa.

" If someone is nice to you but rude to the waiter, they are not a nice person. "

Dave Barry, William H Swanson's 33 Unwritten Rules of Management

Esimerkillä johdetaan, haluttiin sitä tai ei. Se toimii hyvässä ja pahassa. Kukaan meistä ei ole virheistä vapaa, eikä pysty näkemään toimintaansa objektiivisesti. Paras ohjenuora mitä olen toistaiseksi löytänyt, on pyrkiä aktiiviseen itsetutkiskeluun sen lisäksi että pyrkii ylläpitämään vastuunkannon ilmapiiriä ja sen tason raakaa avoimuutta että muut voivat huoletta huomauttaa kun teen tyhmyyksiä ja auttaa minua näkemään kun oma otteeni lipsuu.